Datenschutz: Schadensersatz gibt es nur für einen Schaden

Datenschutzskandale sind in aller Munde und die verhängten Bußgelder erreichen teilweise schwindelerregende Höhen, lässt die DSGVO doch saftige Strafzahlungen zu. Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes können Bußgelder bei Verstößen gegen die DSGVO für Unternehmen betragen. Aber auch die Betroffenen selbst können sich zu einem Ausgleich verhelfen und einen Schadensersatz fordern. Ein Verstoß gegen die DSGVO löst jedoch noch keinen individuellen Schadenersatz, wenn durch die Verletzung gar kein Schaden entstanden ist. Das entschied heute der EuGH.

Keine „Geringfügigkeitsgrenze“ beim Schadensersatz

Der EuGH stellte in dem heute entschiedenen Fall erstmals klar, dass bei DSGVO-Verstößen kein pauschaler „Strafschadenersatz“ besteht (EuGH, Urteil vom 04.05.2023, Rechtssache C-300/21, Österreichische Post). Zwar bleibe es dabei, dass Betroffene grundsätzlich ein Recht auf Schadenersatz haben, wenn ihre personenbezogenen Daten DSGVO-widrig verarbeitet wurden. Dennoch urteilte der EuGH heute, dass keine Geringfügigkeitsgrenze und keine Beschränkung der Haftung auf erhebliche Schäden bestehe. Immaterielle Schäden, also Schäden, die sich nicht in Geldwerten darstellen lassen, können unabhängig von ihrer Schwere zu ersetzen sein, kommentiert auch der österreichische Verein für Kosumenteninformation VKI das Urteil. 

Zusammengefasst heißt das: Nicht bei jedem Verstoß gegen die DSGVO kann ein Schadensersatz gefordert werden. Diesen Anspruch haben Betroffene nur, wenn ihnen ein konkreter Schaden entstanden ist und dieser auch beweisbar ist. Hierfür gibt es jedoch keine Erheblichkeits- oder Bagatellgrenze. Es genügt, dass man sich über einen Datenschutzverstoß heftig geärgert hat und dadurch belastet ist, kommentiert die Tagesschau.

Österreich: Datensammlung der Post löst Datenskandal aus

Anlass für die heute entschiedene Rechtsfrage war die Klage eines österreichischen Rechtsanwaltes über ein Auskunftsbegehren, weil die Österreichische Post AG ihm eine hohe Affinität zur Freiheitlichen Partei Österreichs (FPÖ) zugeschrieben hatte. Diesen Schluss zog man aufgrund soziodemografischer Merkmale zu Zwecken des Verkaufs an wahlwerbende Parteien. Er sei beleidigt, erbost und verärgert über die ihm zugeschriebene Parteiaffinität. Er verlangte schließlich einen Schadensersatz in Höhe von 1.000 Euro von der Post, weil der Betroffene so beschämt und bloßgestellt wurde und dies ihm großen Ärger eingebracht habe, schreibt der VKI weiter.

„Gerade Datenschutzverstöße haben in der Regel keine greifbaren Vermögensschäden Betroffener zur Folge. Ein ‚Schwellenwert‘ für immaterielle Schäden hätte die Effektivität des Haftungsrechts de facto ausgehebelt und hat in praxi in vielen Fällen dazu geführt, dass DSGVO-Ansprüche abgewiesen wurden“, kommentiert Dr. Petra Leupold, Datenschutzexpertin und Juristin im VKI.

Laut VKI sollen noch zehn weitere Vorabentscheidungsverfahren beim EuGH zur Thematik anhängig sein.